Поделиться через

Microsoft Intune

  • Статья

"Никому не доверяй"

FastTrack предоставляет исчерпывающие рекомендации по реализации принципов безопасности "Никому не доверяй". Модель нулевого доверия предполагает возможность нарушения защиты и проверяет каждый запрос так же, как если бы он исходил из незащищенной сети. Такой подход обеспечивает надежную безопасность в сетях, приложениях и среде. FastTrack делает это путем сосредоточения внимания на удостоверениях, устройствах, приложениях, данных, инфраструктуре и сетях. С помощью FastTrack вы можете уверенно продвигать процесс безопасности "Никому не доверяй" и эффективно защищать цифровые активы.

С помощью Microsoft Intune можно реализовать принципы "Никому не доверяй", безопасно подготавливая, настраивая и обновляя все конечные точки. Сюда входит применение политик безопасности в облаке, включая безопасность конечных точек, конфигурацию устройства, защиту приложений и соответствие требованиям. Такой подход помогает предотвратить утечку данных в ненадежные приложения или службы и обеспечивает быстрое реагирование на компрометацию безопасности.

Microsoft Intune

Microsoft Intune — это поставщик облачных служб управления мобильными устройствами (MDM) и управления мобильными приложениями (MAM) для приложений и устройств. Каждый клиент имеет собственную уникальную среду. Помощь основана на конкретных потребностях в управлении мобильными устройствами и мобильными приложениями.

FastTrack предоставляет удаленные рекомендации для:

  • Лицензирование конечных пользователей.
  • Настройка удостоверений, используемых Intune с помощью локальная служба Active Directory или облачных удостоверений (Microsoft Entra ID).
  • Добавление пользователей в подписку Microsoft Intune, определение ролей ИТ-администраторов и создание групп пользователей и устройств.
  • Настройка центра MDM в зависимости от потребностей управления, в том числе установка Intune в качестве центра MDM, если Intune является единственным решением MDM.
  • Предоставление рекомендаций по MDM для следующих действий:
    • Настройка тестовых групп, используемых для проверки политик управления MDM.
    • Настройка политик и служб управления MDM, включая:
      • Развертывание приложений для каждой поддерживаемой платформы с помощью веб-ссылок или прямых ссылок.
      • политик условного доступа;
      • Развертывание электронной почты, беспроводных сетей, профилей VPN для существующего центра сертификации, беспроводной сети или инфраструктуры VPN в организации.
      • Подключение к Intune Data Warehouse.
      • Интеграция Intune со следующими компонентами:
        • Средство просмотра команд для удаленной помощи (требуется подписка Team Viewer).
        • Решения для партнеров Mobile Threat Defense (MTD) (требуется подписка MTD).
        • Решение для управления затратами на телекоммуникации (требуется подписка на решение для управления затратами на телекоммуникации).
      • Регистрация устройств всех поддерживаемых платформ в Intune.
      • Настройка политик безопасности конечных точек, включая решение для локального администратора Windows (LAPS), с помощью Intune.
  • Предоставление рекомендаций по защите приложений для:
    • Настройка политик защиты приложений для каждой поддерживаемой платформы.
    • Настройка политик условного доступа для управляемых приложений.
    • Нацеливание на соответствующие группы пользователей с помощью ранее упомянутых политик MAM.
    • Использование отчетов об использовании управляемых приложений.
  • Предоставление рекомендаций по миграции из устаревшего управления компьютерами в Intune MDM.

Примечание.

Для клиентов, подготовленных с помощью единиц вычислений безопасности (SKU), FastTrack предоставляет пошаговое руководство по внедренным Microsoft Copilot в Intune интерфейсах в область, описанных в этом разделе.

Вне области поддержки

  • Настройка или настройка центров сертификации, беспроводных сетей, инфраструктуры VPN или push-сертификатов Apple MDM для Intune.
  • Настройка или обновление сервера сайта Configuration Manager или клиента до минимальных требований, необходимых для поддержки присоединения к облаку.
  • Интеграция Intune с Microsoft Defender для конечной точки и создание политик соответствия устройств на основе оценки уровня риска Windows 10. FastTrack не помогает при покупке, лицензировании или активации.

Обратитесь к партнеру Майкрософт за помощью в любых область службах.

Доставка сертификата

FastTrack предоставляет удаленные рекомендации для:

  • Протокол SCEP и служба регистрации сетевых устройств (NDES).
    • Настройка элементов, связанных с центром сертификации предприятия.
    • Создание и выдача шаблона сертификата SCEP.
    • Установка и настройка NDES.
    • Установка и настройка соединителя Microsoft Intune для SCEP.
    • Установка и настройка Microsoft Entra прокси приложения и соединителей приложений Microsoft Entra.
    • Создание и назначение профиля конфигурации доверенного устройства сертификата в Microsoft Endpoint Manager.
    • Создание и назначение профиля конфигурации устройства сертификата SCEP в Microsoft Endpoint Manager.
  • сертификаты Public-Key стандартов шифрования (PKCS) и PFX (PKCS#12).
    • Настройка элементов, связанных с центром сертификации предприятия.
    • Создание и выдача шаблона сертификата PKCS.
    • Установка и настройка соединителя сертификатов PFX.
    • Создание и назначение профиля конфигурации доверенного устройства сертификата в Microsoft Endpoint Manager.
    • Создание и назначение профиля конфигурации устройства сертификата PKCS в Microsoft Endpoint Manager.

Вне области поддержки

  • Помощь с сертификатами инфраструктуры открытых ключей (PKI) или корпоративным центром сертификации.
    • Поддержка расширенных сценариев, в том числе:
      • Размещение сервера NDES в периметре периметра клиента.
      • Настройка или использование сервера веб-Application Proxy для публикации URL-адреса NDES за пределами корпоративной сети. Мы рекомендуем использовать прокси-сервер приложения Microsoft Entra для выполнения настройки.
      • Использование импортированных сертификатов PKCS.
      • Настройка развертывания сертификации Intune с помощью аппаратного модуля безопасности (HSM).

Подключение к облаку

FastTrack предоставляет клиентам удаленное руководство по облачному подключению существующих Configuration Manager сред с помощью Intune.

К ним относятся:

  • Лицензирование конечных пользователей.
  • Настройка удостоверений для использования Intune с помощью локальная служба Active Directory и облачных удостоверений.
  • Добавление пользователей в подписку Intune, определение ролей ИТ-администраторов, а также создание групп пользователей и устройств.
  • Предоставление рекомендаций по настройке Microsoft Entra гибридного присоединения.
  • Рекомендации по настройке Microsoft Entra ID для автоматической регистрации MDM.
  • Рекомендации по настройке шлюза управления облаком при использовании в качестве решения для совместного управления удаленным управлением устройствами через Интернет.
  • Настройка поддерживаемых рабочих нагрузок для переключения на Intune.
  • Установка клиента диспетчера конфигураций на устройствах, зарегистрированных в Intune.

Безопасное развертывание Outlook Mobile для iOS и Android

FastTrack предоставляет клиентам удаленное руководство по безопасному развертыванию Outlook Mobile для iOS и Android, чтобы убедиться, что у пользователей установлены все необходимые приложения.

К ним относятся:

  • Скачивание приложений Outlook для iOS и Android, Microsoft Authenticator и Корпоративный портал Intune через apple App Store или Google Play Store.
  • Учреждение:
    • Outlook для iOS и Android, Microsoft Authenticator и Корпоративный портал Intune развертывание приложений с Intune.
    • политики защита приложений.
    • политик условного доступа;
    • Политики конфигурации приложений.

Аналитика конечных точек

FastTrack предоставляет клиентам удаленное руководство по включению аналитики конечных точек.

К ним относятся:

  • Подтверждение лицензий для конечных точек и пользователей.
  • Подтверждение соответствия сред организации предварительным требованиям для функций аналитики конечных точек.
  • Настройка конечных точек с помощью правильных политик для включения функций аналитики конечных точек.
  • Настройка базовых показателей организации для отслеживания хода выполнения.
  • Предоставление рекомендаций по использованию исправлений в аналитике конечных точек, в том числе:
    • Использование сценариев исправления, созданных корпорацией Майкрософт.

Вне области поддержки

  • Создание пользовательских сценариев исправления.

Обратитесь к партнеру Майкрософт за помощью в любых область службах.

Требования к исходной среде

  • ИТ-администраторы должны иметь существующие центры сертификации, беспроводные сети и инфраструктуры VPN, включенные в рабочих средах, чтобы развертывать профили беспроводной сети и VPN с Intune.
  • В клиентской среде должна быть существующую работоспособное PKI, прежде чем включить доставку PKCS и сертификатов SCEP с Intune.
  • Устройствами конечных точек должно управлять Intune.
  • ИТ-администраторы несут ответственность за регистрацию устройств в организации путем отправки поставщиком оборудования идентификаторов оборудования для их отправки в службу Windows Autopilot.

Microsoft Intune Suite

Microsoft Intune Suite предоставляет критически важные расширенные возможности управления конечными точками и обеспечения безопасности для Intune. 

Управление привилегиями конечных точек

Управление привилегиями конечных точек (EPM) поддерживает путь без доверия, помогая вашей организации достичь широкой базы пользователей, работающей с минимальными привилегиями, позволяя пользователям по-прежнему выполнять задачи, разрешенные вашей организацией, и оставаться продуктивными.

FastTrack предоставляет клиентам удаленное руководство по включению EPM.

К ним относятся:

  • Обзор EPM, предварительных требований и конечных точек.
  • Предоставление рекомендаций по включению политик EPM и параметров повышения прав и ответов по умолчанию для запросов на повышение прав.
  • Руководство по созданию политик правил повышения прав для управления идентификацией определенных файлов и способом обработки запросов на повышение прав для этих файлов.
  • Создание групп повторно используемых параметров для управления уже имеющимися сертификатами.
  • Предоставление рекомендаций по обработке конфликтов политик.
  • Предоставление утвержденных поддержкой повышений прав файлов.
  • Предоставление разрешений на управление доступом на основе ролей (RBAC) для запросов на повышение прав.
  • Создание политик для повышения прав файлов, утвержденных поддержкой.
  • Управление ожидающих запросов на повышение прав.
  • Предоставление отчетов EPM.

Вне области поддержки

  • Управление ожидающих утверждений с помощью автоматизации.

Обратитесь к партнеру Майкрософт за помощью в любых область службах.

Дополнительные сведения см. в статье Использование управления привилегиями конечных точек с Microsoft Intune.

Управление корпоративными приложениями

Управление корпоративными приложениями предоставляет каталог корпоративных приложений Win32, которые легко доступны в Intune. Эти приложения можно добавить в клиент, выбрав их в каталоге корпоративных приложений. При добавлении приложения каталога корпоративных приложений в клиент Intune автоматически предоставляются параметры установки, требований и обнаружения по умолчанию. Кроме того, Intune размещает приложения каталога корпоративных приложений в хранилище Майкрософт.

FastTrack предоставляет клиентам удаленные рекомендации по включению Управление корпоративными приложениями.

К ним относятся:

  • Обзор и предварительные требования для Управление корпоративными приложениями.
  • Настройка предварительно упаковаемых и предварительно настроенных приложений, которые являются самообновляющимися.
  • Добавление приложения каталога Windows в Intune.
  • Включение мониторинга сведений о приложениях.
  • Включение отчетов о состоянии установки приложения.

Вне области поддержки

  • Автоматизация с помощью Microsoft API Graph.

Обратитесь к партнеру Майкрософт за помощью в любых область службах.

Дополнительные сведения см. в разделе Управление корпоративными приложениями Microsoft Intune.

Расширенная аналитика

Расширенная аналитика — это набор аналитических возможностей, которые помогают ИТ-администраторам понять, предвидеть и улучшить взаимодействие с конечными пользователями.

FastTrack предоставляет клиентам удаленное руководство по включению Расширенная аналитика.

К ним относятся:

  • Обзор и предварительные требования для Расширенная аналитика.
  • Включение обнаружения аномалий в аналитике конечных точек позволяет отслеживать работоспособность устройств для взаимодействия с пользователем и снижения производительности после изменения конфигурации.
  • Предоставление расширенного временная шкала событий на конкретном устройстве для устранения неполадок с устройствами.
  • Настройка областей устройств в аналитике конечных точек, включая настраиваемые области устройств, чтобы нарезать отчеты аналитики конечных точек на подмножество устройств.
  • Настройка запросов устройств в Intune, включая доступ к данным о состоянии устройства практически в режиме реального времени.
  • Включение отчетов о работоспособности батареи.

Требования к исходной среде

  • Клиент использует Intune для управления устройствами.

Дополнительные сведения см. в статье Что такое Расширенная аналитика Microsoft Intune?.

Удаленная помощь

Удаленная помощь — это облачное решение для безопасных подключений к службе технической поддержки с помощью управления доступом на основе ролей (RBAC).

FastTrack предоставляет клиентам удаленное руководство по включению Удаленная помощь.

К ним относятся:

  • Предоставление обзора и предварительных требований для Удаленная помощь.
  • Уточнение предварительных требований для Удаленная помощь в Windows, Android и macOS.
  • Настройка Удаленная помощь для клиента клиента.
  • Настройка RBAC для задания уровня доступа вспомогательной службы разрешена.
  • Настройка Удаленная помощь на зарегистрированных и незарегистрированных устройствах Windows, в том числе:
    • Уточнение сетевых аспектов.
    • Установка и обновление Удаленная помощь приложения Win32.
    • Включение файлов журнала
  • Настройка Удаленная помощь для работы с условным доступом.
  • Настройка соединителя ServiceNow.
  • Настройка Удаленная помощь на зарегистрированных и незарегистрированных устройствах macOS, в том числе:
    • Уточнение сетевых аспектов.
    • Установка приложения Удаленная помощь
    • Настройка разрешений ОС собственного приложения.
    • Установка и обновление собственного приложения macOS Удаленная помощь.
  • Настройка Удаленная помощь на устройствах Android, в том числе:
    • Уточнение реквизий.
    • Развертывание приложения Удаленная помощь.
    • Предоставление рекомендаций по предоставлению разрешений для устройств Zebra и Samsung.
    • Использование Удаленная помощь на устройствах Android.

Вне области поддержки

  • Интеграция ServiceNow и устранение неполадок.
  • Настройка устройств Android изготовителя исходного оборудования (OEM).

Обратитесь к партнеру Майкрософт за помощью в любых область службах.

Дополнительные сведения см. в статье Использование Удаленная помощь с Microsoft Intune.

Microsoft Tunnel для управления мобильными приложениями

При использовании VPN-шлюз Microsoft Tunnel можно расширить поддержку Microsoft Tunnel, добавив Tunnel для управления мобильными приложениями (MAM). Tunnel for MAM расширяет VPN-шлюз Microsoft Tunnel для поддержки устройств под управлением Android или iOS, которые не зарегистрированы в Intune.

FastTrack предоставляет клиентам удаленное руководство по включению Tunnel для MAM.

К ним относятся:

  • Обзор и предварительные требования для Tunnel для MAM.
  • Настройка VPN Microsoft Tunnel для незарегистрированных устройств Android.
  • Настройка политик для поддержки Tunnel для MAM.
  • Настройка бизнес-приложений (LOB).
  • Настройка VPN Microsoft Tunnel для незарегистрированных устройств iOS и iPad.
  • Просмотр необходимого пакета SDK для iOS.
  • Настройка политик для Tunnel для MAM для iOS.
  • Настройка бизнес-приложений в Центр администрирования Microsoft Entra
  • Настройка интеграции бизнес-приложений Xcode.
  • Мониторинг Microsoft Tunnel.

Вне области поддержки

  • Базовая настройка шлюза Microsoft Tunnel.

Обратитесь к партнеру Майкрософт за помощью в любых область службах.

Дополнительные сведения см. в статье Microsoft Tunnel for Mobile Application Management.

Microsoft Cloud PKI

Microsoft Cloud PKI — это облачная служба, которая упрощает и автоматизирует управление жизненным циклом сертификатов для устройств, управляемых Intune. Она предоставляет выделенную инфраструктуру открытых ключей (PKI) для вашей организации и обрабатывает выдачу, продление и отзыв сертификатов для всех платформ, поддерживаемых Intune.

FastTrack предоставляет клиентам удаленное руководство по включению Microsoft Cloud PKI.

К ним относятся:

  • Обзор и предварительные требования для Microsoft Cloud PKI.
  • Настройка пользовательских ролей, созданных RBAC, с разрешениями Microsoft Cloud PKI.
  • Создание двухуровневой иерархии PKI с корнем и центром сертификации (ЦС) в облаке.
  • Настройка использования собственного ЦС (BYOCA) для привязки ЦС, выдающего Intune, к частному ЦС с помощью служб сертификатов Active Directory или службы сертификатов сторонних поставщиков.
  • Создание профилей доверенных сертификатов.
  • Создание профилей сертификатов SCEP.
  • Мониторинг выдачи ЦС и проверка выданных сертификатов.
  • Предоставление отчета о профиле сертификата SCEP
  • Включение журналов аудита Microsoft Cloud PKI.

Вне области поддержки

  • Объяснение криптографических концепций.
  • Настройка или настройка локальных ЦС.
  • Настройка ЦС для регистрации веб-службы.
  • Развертывание сертификатов на проверяющих сторонах (таких как VPN, Wi-Fi, приложения или серверы).
  • Настройка сервера политики сети (NPS) или службы пользователей удаленной проверки подлинности с телефонным подключением (RADIUS).

Обратитесь к партнеру Майкрософт за помощью в любых область службах.

Дополнительные сведения см. в статье Обзор Microsoft Cloud PKI для Microsoft Intune.

Обновления встроенного ПО по воздуху и специализированное управление устройствами

Обновления встроенного ПО по воздуху (FOTA) позволяют удаленно обновлять встроенное ПО устройства с помощью беспроводного подключения, а не требовать физического подключения устройств к компьютеру или сети.

Специализированное управление устройствами с помощью Intune предоставляет широкий спектр возможностей управления, конфигурации и защиты для специализированных устройств, таких как гарнитуры AR и VR, большие устройства smart-screen и избранные устройства для собраний в конференц-залах.

FastTrack предоставляет клиентам удаленное руководство по включению обновлений FOTA и специализированного управления устройствами.

К ним относятся:

  • Настройка Intune регистрации устройств Android на платформе Android Open Source Project (AOSP) для корпоративных устройств без пользователей и связанных с пользователем устройств (включая устройства RealWear).
  • Включение обновлений FOTA для Android.
  • Включение управления обновлениями Samsung Enterprise FOTA (E-FOTA).
  • Включение интеграции Zebra LifeGuard over-the-Air (LG OTA).
  • Настройка учетных записей Meta Work для автоматической подготовки пользователей с помощью Microsoft Entra ID.
  • Настройка автоматической подготовки пользователей для Meta Quest рабочих учетных записей для бизнеса с помощью Microsoft Entra ID.
  • Журналы подготовки мониторинга.
  • Настройка Meta Quest диспетчер устройств.
  • Настройка интеграции Intune с Meta Quest диспетчер устройств.

Вне области поддержки

  • устранение неполадок Meta Quest для бизнеса.
  • Устранение неполадок с конфигурацией oem и интеграцией.

Обратитесь к партнеру Майкрософт за помощью в любых область службах.

Дополнительные сведения см. в разделе Обновление встроенного ПО для мобильных устройств по сети.

Руководства по расширенному развертыванию Майкрософт

Корпорация Майкрософт предоставляет клиентам технологии и рекомендации по развертыванию служб Безопасности, Microsoft 365, Microsoft Viva и безопасности. Мы рекомендуем нашим клиентам начать развертывание с этих предложений.

Сведения о администраторах, не относящихся к ИТ, см. в статье Настройка Microsoft 365.